어디선가 'DMARCbis'라는 용어와 함께 '무언가 바뀐다'는 이야기를 들어보셨을지 모릅니다. IT 담당자가 언급했을 수도 있고, 이메일 관련 뉴스레터에서 보셨을 수도 있습니다. 어느 쪽이든 반응은 비슷했을 겁니다. "도대체 이게 뭐고, 내가 뭔가 해야 하는 건가?"
두 번째 질문부터 답하자면, 아직은 아닙니다. 새 표준의 확정된 발표 일정은 아직 없습니다. 다만 실제로 무엇이 바뀌는지, 그리고 언제 도입되었을 때 여러분에게 어떤 의미가 있을지는 알아둘 가치가 있습니다.
도메인을 처음 설정할 때 누군가가 DNS 레코드 몇 가지를 추가하라고 했던 기억을 떠올려 보세요. SPF, DKIM, DMARC입니다. 직접 하셨을 수도, 누군가가 대신 해주었을 수도 있고, 그 뒤로는 한 번도 생각해 보지 않으셨을 겁니다.
DMARC는 본질적으로 도용에 대한 보호 장치입니다. DMARC가 없으면 누구나 여러분의 도메인, 예를 들어 info@yourcompany.com처럼 보이는 이메일을 보낼 수 있습니다. DMARC가 설정되어 있다면 이렇게 선언하는 셈입니다. "내 도메인에서 보낸 이메일은 특정 규칙을 충족해야 합니다. 그렇지 않다면 의심스러운 것으로 취급하거나 아예 차단하세요."
Gmail, Outlook 같은 이메일 서버는 이 레코드를 읽고, 여러분의 도메인에서 왔다고 주장하는 메시지를 어떻게 처리할지 결정합니다.
DMARCbis는 DMARC의 작동 방식을 정의하는 규칙의 업데이트 버전입니다. 'bis'는 라틴어로 '두 번째' 또는 '개정'이라는 뜻으로, 책의 개정판 같은 개념입니다.
새 표준은 2026년 중에 등장할 것으로 예상되지만, 정확한 날짜는 아직 확정되지 않았습니다. 발표되면 2015년에 나온 기존 규격을 대체하게 됩니다.
가장 중요한 사실부터 말씀드리자면, 당장 바꿀 것은 없습니다. 지금 DNS에 있는 레코드는 새 표준이 발표된 뒤에도 계속 유효합니다.
이번 개정에서 가장 큰 변화이고, 이해를 돕기 위해 간단한 비유를 들어보겠습니다.
DMARC를 볼륨 다이얼이 달린 조명 스위치라고 생각해 보세요. 세 가지 위치가 있습니다.
p=none입니다.p=quarantine입니다.p=reject입니다.'꺼짐'에서 바로 '완전 보호'로 건너뛰는 것은 위험합니다. 잊고 있던 도구를 통해 이메일이 나가고 있을 수 있기 때문입니다. 오래된 청구 시스템, 플러그인, 잠깐 썼던 마케팅 도구 같은 것들 말입니다. 이런 도구가 제대로 설정되어 있지 않다면, 아무런 경고 없이 고객들이 메일을 받지 못하게 됩니다.
기존 DMARC 규격에는 이 문제에 대한 해결책이 있었습니다. 바로 점진적 롤아웃입니다. "지금은 이메일의 10%에만 규칙을 적용하고, 그다음에 50%, 그다음에 100%로 늘려라"라고 지정할 수 있었습니다. 이론적으로는 그 과정에서 잊고 있던 발신자를 발견할 수 있었습니다. 하지만 실제로는 작동하지 않았습니다. 이메일 서버마다 이 설정을 다르게 해석했고, 많은 서버가 아예 무시했습니다.
DMARCbis는 이 기능을 제거합니다. 다이얼 대신 단순한 스위치가 됩니다. 테스트 모드 아니면 전면 적용, 퍼센트는 없습니다.
이것은 좀 더 기술적인 변화지만, 알아둘 가치가 있습니다. 특히 복잡한 도메인 구조를 운영하고 있다면 더욱 그렇습니다.
모든 도메인에는 '트리' 구조가 있습니다. 예를 들어 newsletter.yourcompany.com은 yourcompany.com의 가지입니다. 메인 도메인의 DMARC 레코드는 하위 도메인에 자체 레코드가 없다면 자동으로 하위 도메인까지 커버합니다.
이전에는 이메일 서버가 도메인이 어디서 '시작'되는지 파악하기 위해 외부 목록을 사용했습니다. Public Suffix List라는, 공개적으로 관리되는 문서입니다. 문제는 이 목록이 항상 최신 상태가 아니라는 점이었습니다. DMARCbis는 이 문제를 훨씬 깔끔하게 해결합니다. 서버가 DNS에 직접 질의하는 방식으로 바뀝니다. 결과적으로 훨씬 더 안정적이고 예측 가능해집니다.
여러분에게 이것은 어떤 의미일까요? 하나의 도메인만 쓰고 구조가 복잡하지 않다면 아마 아무런 의미도 없을 것입니다. 하지만 여러 하위 도메인을 운영하고 있다면(예: shop.yourcompany.com, support.yourcompany.com), DMARC 레코드가 의도한 범위를 제대로 커버하고 있는지 확인해 볼 가치가 있습니다.
다음 단계를 결정하기 전에 현재 상태부터 파악하는 것이 좋습니다. 가장 쉬운 방법은 DMARCeye의 무료 DNS 체커를 사용하는 것입니다. 도메인을 입력하면 어떤 DMARC 레코드를 가지고 있는지, 그 의미는 무엇인지, 제대로 설정되어 있는지 즉시 확인할 수 있습니다. 무료이고, 회원가입도 필요 없으며, 결과는 몇 초 만에 나옵니다.
실제로 이메일 보안 역사에서 흥미로운 순간이기 때문입니다. 다만 대부분의 도메인 소유자에게는 실제보다 훨씬 극적인 일인 것처럼 보도되고 있습니다.
더 중요한 이야기는 '표준이 바뀐다'가 아닙니다. 바로 이것입니다. 상당수의 도메인이 DMARC를 설정해 두고도 실질적인 보호를 제공하지 못하고 있습니다. 수년째 '모니터링 전용' 모드에 머물러 있기 때문입니다. 진짜 보호를 원한다면 DMARC 설정만으로는 충분하지 않습니다. 리포트가 무엇을 말하는지 파악하고, 점진적으로 그리고 안전하게 더 엄격한 설정으로 옮겨가야 합니다.
DMARC 리포트는 기술적이고, XML 파일 형태로 도착하며, 도구 없이는 사실상 읽을 수 없습니다. DMARCeye는 그 리포트를 여러분 대신 읽어내고, 평범한 언어로 알려줍니다. 누가 여러분의 도메인에서 이메일을 보내고 있는지, 발신 도구들이 제대로 설정되어 있는지, 그리고 오늘 정책을 더 엄격하게 조이면 어떤 일이 일어날지 말입니다. 무료로 시작할 수 있습니다.
급한 것은 없습니다. 새 표준은 확정된 발표 일정이 없고, 따라서 마감일도 없습니다.
p=none에 머물러 있다면, 이제 다음 단계를 고려할 때입니다. 신중하게, 가시성을 확보한 상태로 옮겨가야 합니다. DMARCeye 같은 도구는 불필요한 위험 없이 그 경로를 보여줍니다.DMARCbis에서 바뀌는 모든 항목의 규격 수준 세부사항이 궁금하다면, 관련 글을 참고하세요. DMARCbis가 바꾸는 것, 그리고 해결되지 않은 것.
DMARCeye를 무료로 체험해 보세요. 여러분의 도메인 이메일 리포트가 실제로 무엇을 말하고 있는지 확인해 보세요.